Spring Authorization Server实战：从零配置到四种Token获取方式完整测试（附Postman脚本）

张

张建站

2026/5/30 10:39:29

10分钟阅读

Spring Authorization Server实战：从零配置到四种Token获取方式完整测试（附Postman脚本）

Spring Authorization Server深度实战四种Token获取全流程与避坑指南如果你正在构建一个需要精细权限控制的现代应用系统OAuth 2.1协议无疑是当前最成熟的安全授权框架选择。而Spring Authorization Server作为Spring生态的官方实现正在成为Java技术栈开发者的首选方案。本文将带你从零开始通过完整可复现的步骤掌握四种核心授权模式的配置与测试技巧。1. 环境准备与基础配置在开始之前确保你的开发环境满足以下条件JDK 17或更高版本Spring Boot 3.0Maven或Gradle构建工具PostgreSQL/MySQL等关系型数据库初始化项目依赖时需要在pom.xml中添加关键组件dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-oauth2-authorization-server/artifactId /dependency dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-data-jdbc/artifactId /dependency数据库表结构初始化是第一个关键步骤。Authorization Server需要以下几张核心表表名用途描述oauth2_registered_client存储客户端注册信息oauth2_authorization授权记录与token元数据users系统用户认证信息2. 核心配置类详解创建AuthorizationServerConfig类时这几个注解组合是安全配置的基础Configuration EnableWebSecurity EnableMethodSecurity(prePostEnabled true) public class AuthorizationServerConfig { // 配置内容将在此展开 }JWS(JSON Web Signature)配置是token安全的核心。以下是一个典型的JWT生成器配置Bean public JWKSourceSecurityContext jwkSource() { KeyPair keyPair generateRsaKey(); RSAPublicKey publicKey (RSAPublicKey) keyPair.getPublic(); RSAPrivateKey privateKey (RSAPrivateKey) keyPair.getPrivate(); RSAKey rsaKey new RSAKey.Builder(publicKey) .privateKey(privateKey) .keyID(UUID.randomUUID().toString()) .build(); JWKSet jwkSet new JWKSet(rsaKey); return (jwkSelector, securityContext) - jwkSelector.select(jwkSet); }注意生产环境应当妥善保管私钥建议使用密钥管理系统而非硬编码在代码中3. 四种Token获取实战3.1 授权码模式全流程解析授权码模式是最常用的OAuth流程适合有前端交互的Web应用。完整流程分为两个阶段获取授权码的请求示例GET /oauth2/authorize?response_typecode client_idmessaging-client redirect_urihttp://localhost:8080/callback scopemessage.read state12345用授权码交换token的Postman配置要点请求方法POSTHeaders添加Authorization: Basic [base64(clientId:secret)]Body参数{ grant_type: authorization_code, code: [上一步获取的code], redirect_uri: http://localhost:8080/callback }常见问题排查出现invalid_grant错误时检查redirect_uri是否与注册时完全一致遇到unauthorized_client提示确认客户端认证方式配置正确3.2 刷新令牌机制详解当access_token过期通常1小时后使用refresh_token可以获取新的token而无需用户重新登录。刷新请求示例POST /oauth2/token Content-Type: application/x-www-form-urlencoded grant_typerefresh_token refresh_token[之前获取的refresh_token] client_idmessaging-client重要安全实践refresh_token的过期时间(通常7天)应显著长于access_token但需要配合token撤销机制使用3.3 客户端模式直接认证客户端模式适用于服务间通信等无用户参与的场景。其特点是不需要用户授权步骤直接使用客户端凭证获取token获取的token通常只有客户端权限无用户上下文Postman测试示例curl -X POST \ -H Authorization: Basic [base64(clientId:secret)] \ -d grant_typeclient_credentialsscopeinternal.api \ http://localhost:8080/oauth2/token3.4 PKCE增强模式实战PKCE(Proof Key for Code Exchange)是针对公共客户端(如移动App)的安全增强方案。实现步骤客户端生成随机字符串code_verifier和其哈希值code_challenge授权请求携带code_challenge/oauth2/authorize?response_typecode client_idmobile-app code_challengexyz... code_challenge_methodS256兑换token时提交原始code_verifierJava生成PKCE参数的示例代码String codeVerifier SecureRandomString.generate(); String codeChallenge Base64.getUrlEncoder().withoutPadding() .encodeToString(MessageDigest.getInstance(SHA-256) .digest(codeVerifier.getBytes()));4. 生产环境进阶配置令牌自定义是常见需求比如在JWT中添加额外字段Bean public OAuth2TokenCustomizerJwtEncodingContext tokenCustomizer() { return context - { if (context.getTokenType() OAuth2TokenType.ACCESS_TOKEN) { Authentication principal context.getPrincipal(); context.getClaims().claim(tenant_id, getTenantId(principal)); } }; }权限映射问题常导致403错误。默认scope会添加SCOPE_前缀如需修改Bean public JwtAuthenticationConverter jwtAuthenticationConverter() { JwtGrantedAuthoritiesConverter converter new JwtGrantedAuthoritiesConverter(); converter.setAuthorityPrefix(); // 移除前缀 JwtAuthenticationConverter jwtConverter new JwtAuthenticationConverter(); jwtConverter.setJwtGrantedAuthoritiesConverter(converter); return jwtConverter; }在测试过程中发现当使用Postman测试受保护接口时如果遇到403错误首先检查请求头是否正确添加了Authorization: Bearer [token]token中的scope是否包含接口要求的权限权限前缀是否与安全配置匹配

打磨你的 MacBook 角落：一场关于极致体验与工程妥协的深度思考

打磨你的 MacBook 角落：一场关于极致体验与工程妥协的深度思考在科技产品的世界里，我们常常陷入一种近乎偏执的追求——对完美体验的渴望。最近，一篇关于“打磨 MacBook 角落”的文章在技术社区引发了热烈讨论，获得了上千票的关…...

2026/5/30 10:36:27 阅读更多 →

百度网盘解析工具完整使用教程：3分钟实现高速下载

百度网盘解析工具完整使用教程：3分钟实现高速下载【免费下载链接】baidu-wangpan-parse 获取百度网盘分享文件的下载地址项目地址: https://gitcode.com/gh_mirrors/ba/baidu-wangpan-parse 还在为百度网盘蜗牛般的下载速度而烦恼吗？今天我要为…...

2026/5/30 10:36:06 阅读更多 →

ESP32+步进电机改造布谷钟：机械钟表智能化与NTP网络对时实践

1. 项目概述手头有一台老旧的布谷钟，走时不准，机械磨损严重，与其费时费力地修复那些精密但已磨损的齿轮和轴套，不如换个思路，用现代电子技术给它注入新的灵魂。这个项目的核心，就是利用一块ESP32开发板和一…...

2026/5/30 10:34:36 阅读更多 →

Midjourney渐变美学的神经渲染原理（附RGB-HSV-LCH三空间渐变映射对照表·行业首曝）

更多请点击： https://kaifayun.com 第一章：Midjourney渐变美学的神经渲染原理（附RGB-HSV-LCH三空间渐变映射对照表行业首曝） Midjourney 的渐变美学并非传统插值实现，而是由其隐式神经渲染器（Implicit Neu…...

2026/5/26 6:08:07 阅读更多 →

通过curl命令调试Taotoken大模型API，快速排查接入问题

🚀 告别海外账号与网络限制！稳定直连全球优质大模型，限时半价接入中。 👉 点击领取海量免费额度通过curl命令调试Taotoken大模型API，快速排查接入问题在接入大模型服务时，直接使用HTTP请求进行调试是一种…...

2026/5/29 11:21:15 阅读更多 →

Kubernetes自定义资源：扩展Kubernetes API的能力

Kubernetes自定义资源：扩展Kubernetes API的能力一、Kubernetes自定义资源概述 1.1 自定义资源的定义 Kubernetes自定义资源（Custom Resource，CR）是指用户自定义的资源类型，它扩展了Kubernetes API，允许用…...

2026/5/30 9:36:03 阅读更多 →

Codeforces Round 1057

【打得太糖了】Codeforces Round 1057 (Div. 2) solve 3 题 https://www.bilibili.com/video/BV1Gi4nzYE66/ 【Codeforces Round 1057 (Div. 2)实况】好久没打cf了，只会A-D https://www.bilibili.com/video/BV12q4xzMEy5/ 憧憬成为 Master 第 29 集 —— 反向冲分 (…...

2026/5/27 10:36:27 阅读更多 →